Las principales agencias de inteligencia advierten que las catástrofes cibernéticas impulsadas por IA son inminentes: “El plazo no es de años, sino de meses”

“Como líderes de las agencias de ciberseguridad de Five Eyes, estamos unidos en nuestro llamado a la acción: el panorama en evolución de la inteligencia artificial (IA) está transformando rápidamente el riesgo cibernético y debemos actuar con rapidez para mantenernos un paso adelante”, señaló la alianza en una declaración firmada por los jefes de inteligencia de los cinco países, entre ellos David Imbordino, director del área de ciberseguridad de la Agencia de Seguridad Nacional (NSA) de Estados Unidos, y Nick Andersen, director interino de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA). “El plazo no es de años, sino de meses”.

La advertencia de que lo peor está por venir

En la carta, los líderes afirman que los avances en IA están acelerando la “velocidad, escala y sofisticación de las amenazas cibernéticas” al reducir las barreras de entrada para actores maliciosos y acortar el tiempo entre el descubrimiento de una vulnerabilidad de software y su explotación.

“El riesgo cibernético ya no puede tratarse como un problema puramente técnico. Es un riesgo empresarial fundamental y una responsabilidad de liderazgo”, señala el documento. “Las brechas de seguridad ocurrirán. Estar preparados ayuda a contenerlas rápidamente y evita que se conviertan en grandes crisis operativas y financieras”.

Para hacer frente a estos riesgos, Five Eyes insta a los líderes de organizaciones a limitar los accesos innecesarios a los sistemas y la conectividad externa, evitar retrasos en la aplicación de parches de seguridad, poner a prueba los planes de respuesta ante incidentes, reforzar la autenticación de identidad y restringir el acceso de los usuarios a sistemas críticos. El grupo también recomendó integrar herramientas de IA en las operaciones de seguridad.

“Las organizaciones que incorporan herramientas de IA en sus operaciones de seguridad pueden detectar vulnerabilidades con mayor anticipación, mejorar la calidad del software, supervisar comportamientos inusuales y responder más rápido a los incidentes, reduciendo tanto los costos como el impacto de estos eventos”, escribieron.

No es casualidad…

La declaración llega en un momento especialmente tenso para la ciberseguridad. A principios de este año, Anthropic anunció un nuevo modelo de IA llamado Mythos, que, según la empresa, era tan eficaz para descubrir y explotar vulnerabilidades de software que su acceso solo podía concederse a organizaciones y gobiernos seleccionados. Poco después de ese despliegue limitado, OpenAI presentó un modelo con características similares.

De acuerdo con informes de algunas de las pocas organizaciones que han obtenido acceso, Mythos es capaz de vulnerar el sistema operativo de Apple (considerado uno de los más difíciles de comprometer) y tomar el control total de un entorno corporativo en seis de cada diez intentos.

Tras anunciar el inicio de su esperado proceso de salida a bolsa, Anthropic amplió el acceso a Mythos antes de lanzar una versión supuestamente más segura y limitada para el público denominada Claude Fable 5. Sin embargo, poco tiempo después, la administración Trump intervino y obligó a la compañía a suspender el acceso de ciudadanos extranjeros tanto a Fable 5 como a Mythos, alegando preocupaciones de seguridad nacional. La prohibición afectó a todos los extranjeros, dentro y fuera de Estados Unidos, incluidos empleados de la propia empresa. Para garantizar el cumplimiento, Anthropic deshabilitó el acceso a ambos modelos para todos los usuarios.

El impacto previsto de esta nueva generación de modelos de IA se está convirtiendo rápidamente en uno de los temas centrales de la política internacional. La semana pasada, líderes de empresas de IA como Dario Amodei, de Anthropic; Sam Altman, de OpenAI; y Demis Hassabis, de Google DeepMind, participaron en la cumbre anual del G7, sentándose junto a dirigentes de algunas de las potencias más influyentes del mundo para debatir, entre otras cuestiones, los riesgos cibernéticos asociados a sus tecnologías.

Mientras los nuevos modelos de IA continúan aumentando la presión sobre las agencias de ciberseguridad de todo el planeta, Estados Unidos enfrenta además una crisis propia. Poco después de que Donald Trump asumiera la presidencia en enero de 2025, la CISA perdió aproximadamente un tercio de su plantilla debido a despidos impulsados por la administración.

Cuando la política intercede es que algo no cierra

Aunque Trump fue parcialmente responsable de la creación de la agencia en 2018 durante su primer mandato, posteriormente se distanció de ella después de que funcionarios de CISA rechazaran respaldar sus denuncias de fraude electoral tras las elecciones presidenciales de 2020, ganadas por el expresidente Joe Biden. En su segundo mandato, Trump propuso además recortes presupuestarios superiores a los 250 millones de dólares para el organismo.

El mes pasado, la agencia también quedó envuelta en un incidente embarazoso cuando el periodista de investigación Brian Krebs descubrió que CISA había dejado expuestos en GitHub nombres de usuario y contraseñas en texto plano correspondientes a sistemas internos, posiblemente durante unos seis meses.

Con los modelos de IA avanzando a gran velocidad y los propios gobiernos reconociendo que representan un nuevo desafío para la seguridad informática, será interesante observar cómo responde CISA a estas amenazas mientras enfrenta restricciones presupuestarias y de personal. Por ahora, el panorama no parece especialmente alentador, sobre todo si se tiene en cuenta un informe reciente que asegura que la agencia obtuvo acceso completo a uno de estos modelos avanzados apenas dos semanas atrás.